O Banco Central anunciou a suspensão do acesso ao sistema Pix para mais três instituições de pagamento, em meio às investigações sobre o ataque cibernético sofrido pela prestadora de serviços de tecnologia C&M Software. Com essa medida, já são seis instituições suspensas, em uma ação preventiva para garantir a segurança do sistema de pagamentos instantâneos.

Instituições suspensas e contexto das medidas

As novas suspensões atingem as empresas Voluti Gestão Financeira, Brasil Cash e S3 Bank, que se juntam às anteriormente suspensas Transfeera, Nuoro Pay e Soffy, cujos acessos ao Pix foram bloqueados pela autoridade monetária no dia 3 de julho. O ataque hacker, ocorrido na segunda-feira, teria resultado no furto estimado de cerca de R$ 1 bilhão, com parte do dinheiro desviada para contas dessas fintechs.

Medidas e posicionamentos das empresas

A suspensão tem validade máxima de 60 dias, conforme a resolução do Banco Central que regula o Pix, que permite a suspensão cautelar a qualquer momento caso a conduta do participante comprometa o funcionamento regular do sistema. A Transfeera informou que suas operações permanecem normais, exceto o Pix, e afirmou: "Nossa instituição, tampouco nossos clientes, foram afetados pelo incidente noticiado no início da semana e estamos colaborando com as autoridades para liberação da funcionalidade de pagamento instantâneo." A Nuoro Pay afirmou respeito às normas do Banco Central e cooperação com as investigações, destacando diálogo contínuo e medidas em andamento para restabelecer a normalidade operacional.

Investigação policial e detalhes do ataque

Segundo a Polícia Civil de São Paulo, o funcionário da C&M Software, João Nazareno Roque, teria sido cooptado para auxiliar o grupo criminoso. O delegado Renato Topan informou que foram apreendidos aparelhos eletrônicos e documentos com scripts durante a operação. A BMP Money Plus foi a única empresa afetada que registrou boletim de ocorrência, tendo perdido R$ 541 milhões no ataque, enquanto parte do dinheiro desviado, aproximadamente R$ 270 milhões, foi movimentada pela fintech Soffy, cujo site está fora do ar e sem resposta às tentativas de contato.

Colaboração da C&M Software

Em nota, a C&M Software afirmou que "segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em julho de 2025". A Polícia Civil esclareceu que, até o momento, a empresa não pode ser responsabilizada criminalmente pelo incidente.